mTLS

Типы шифрования

Есть два типа шифрования сертификата:

ГОСТ. При использовании некоторых методов применяются отечественные алгоритмы шифрования.
RSA. На методах, расположенных на https://secured-openapi.tbank.ru, в качестве дополнительной защиты используется двухфакторная аутентификация. Такие методы помечены .

Некоторые сервисы требуют определенный тип шифрования сертификата — поэтому иногда выбора между RSA и ГОСТ может не быть. Если вы сомневаетесь, какого типа шифрования сертификат вам нужен, сверьтесь со списком методов.

В зависимости от правовой формы организации, сертификат может выпустить:

Для ИП — только сам ИП со своей учетной записи в личном кабинете. Сотрудники ИП не могут выпускать сертификаты из соображений информационной безопасности.
Для остальных правовых форм (ООО, АО) — владелец бизнеса и сотрудники, если у них есть собственная КЭП и машиночитаемая доверенность, оформленная на сотрудника.

ГОСТ-сертификат

Выпуск

Для выпуска сертификата с ГОСТ-шифрованием нужен плагин КриптоПро версии не ниже 5.0.12000 — без него нельзя сгенерировать приватный ключ. Плагин доступен в браузерах Яндекс и Chromium GOST.

В личном кабинете T‑Бизнеса перейдите в раздел Интеграции. На вкладке T‑API нажмите Выпуск сертификата. Обратите внимание — каждой попытке выпуска присваивается свой порядковый номер.
Выберите сервис, для которого будете использовать сертификат, и тип сертификата mTLS (аутентификация).
Выберите тип шифрования ГОСТ и нажмите Дальше.
Если вы выбираете сервисы H2H, 1С Директбанк и Транзит, по умолчанию
выпускается ГОСТ-сертификат — это связано с требованиями безопасности. Блок Шифрование не отобразится.
Проверьте данные сотрудника и компании. Если всё верно, нажмите Дальше.
Сгенерируйте приватный ключ, перемещая курсор мыши.
Придумайте и подтвердите пароль.
Подпишите и отправьте заявку:
Отслеживать статус выпуска сертификата можно на странице Сертификаты. Выпуск занимает до 10 минут.
Чтобы использовать сертификат, установите его на устройство, с которого он был выпущен. Перейдите в раздел Сертификаты → Действуют и на карточке ГОСТ-сертификата нажмите Установить на это устройство.

Использование

Подставляйте только свои значения в параметры запроса.

Пример запроса с ГОСТ-сертификатом:

/opt/cprocsp/bin/curl -iv --cert SHA1 --url https://gost-openapi.tbank.ru/api/v3/sc/partner/schools -H "Accept: application/json" -H "Authorization: Bearer TOKEN"

Параметры запроса:

/opt/cprocsp/bin/curl — путь до curl в пакете КриптоПро.
SHA1 — SHA1-отпечаток вашего ГОСТ-сертификата в инструментах КриптоПро. Чтобы его посмотреть, на вкладке Сертификаты выберите нужный и внизу нажмите Свойства сертификата.
url — адрес вызываемого метода.
TOKEN — токен, выпущенный в личном кабинете Т-Бизнеса.

RSA-сертификат

Выпуск

Приватный ключ для выпуска сертификата можно сохранить только на третьем шаге выпуска сертификата во время первой попытки выпуска. Если вы не сохранили или потеряли приватный ключ, начните новую попытку выпуска.

В личном кабинете T‑Бизнеса перейдите в раздел Интеграции. На вкладке T‑API нажмите Выпуск сертификата. Обратите внимание — каждой попытке выпуска присваивается свой порядковый номер.
Выберите сервис, для которого будете использовать сертификат, и тип сертификата mTLS.
Выберите тип шифрования mTLS и нажмите Дальше.
Проверьте данные сотрудника и компании. Если всё верно, нажмите Дальше.
В зависимости от способа подписания:
Отслеживать статус выпуска сертификата можно на странице Сертификаты. Выпуск занимает до 10 минут.
Чтобы использовать сертификат, установите его на устройство, с которого он был выпущен. Перейдите в раздел Сертификаты → Действуют и на карточке сертификата нажмите Скачать.

Если у вас не получается выпустить сертификат через личный кабинет, напишите в чат поддержки Т-Бизнеса или воспользуйтесь ручным выпуском.

Использование

С сертификатом open-api-cert.pem вы можете использовать защищенные методы , которые расположены на https://secured-openapi.tbank.ru. Для таких запросов нужен сертификат и сгенерированный приватный ключ.

Перед отправкой запроса убедитесь, что у вас:

выпущен токен с указанным внешним IP вашего устройства;
есть приватный ключ;
есть подписанный сертификат;
установлена утилита cURL.

Если вы делаете запрос, для которого нужен сертификат, без сертификата или с неверным сертификатом, возвращается ошибка HTTP 400.

Запросы

Сделать запрос можно несколькими способами:

Используйте сертификат и приватный ключ:

curl --cert open-api-cert.pem --key private.key https://secured-openapi.tbank.ru/...

Примеры

Метод Выполнить платеж. Введите запрос в командной строке:

curl -i -XPOST
--cert open-api-cert.pem --key private.key
-H 'Authorization: Bearer t.wFHqh3g2UwAl3CUSQqq_deCf201Qp0BY2mxFWQTggcc2g0uJxHPdNYD_yqZJFUjQ53YUeIb4Xr66jcfiMe7D8A'
https://secured-openapi.tbank.ru/api/v1/payment/ruble-transfer/pay
-d '{"id":"123456", "from":{"accountNumber":"12345678900987654321"}, "to":{"name":"ООО "Название компании"", "inn":"719351678037", "kpp":"111222333", "bik":"444555666", "bankName":"Чемпион", "corrAccountNumber":"12345678901234567890", "accountNumber":"11122233344455566677"}, "purpose":"Оплата по договору №123. НДС не облагается", "amount":10}'

Метод Получить статус платежа. Введите запрос в командной строке, используя свой токен:

curl -i -XGET
  --cert open-api-cert.pem --key private.key
  -H 'Authorization: Bearer t.wFHqh3g2UwAl3CUSQqq_deCf201Qp0BY2mxFWQTggcc2g0uJxHPdNYD_yqZJFUjQ53YUeIb4Xr66jcfiMe7D8A'
  https://secured-openapi.tbank.ru/api/v1/payment/123456
  

Отследить статус выпуска и посмотреть все сертификаты

Отслеживать статус выпуска сертификата можно на странице Сертификаты. Процесс выпуска занимает около 10 минут.

Также вы можете:

На вкладке Действуют — скачать сертификат, посмотреть срок действия, перевыпустить его или выпустить новый.
На вкладке Не действуют — посмотреть невыпущенные сертификаты или выпустить новый.
На вкладке Выпускаются — посмотреть ваши незавершенные заявки на выпуск сертификата, перейти к подписанию заявки, отменить ее и выпустить новый сертификат.

Посмотреть порядковый номер сертификата можно на всех вкладках.